Cybersecurity industriale NIS2 della supply chain
Il corso approfondisce la cybersecurity industriale NIS2 applicata alla gestione della supply chain e dei fornitori ICT/OT, analizzando il quadro normativo europeo e le principali good practices per la gestione del rischio cyber nei sistemi industriali.
Vengono illustrate le principali normative europee in materia di cybersecurity, con particolare attenzione alla Direttiva (UE) 2022/2555 – NIS2, alla sicurezza della supply chain, alla protezione dei sistemi OT e alla gestione dei fornitori critici.
A chi è rivolto il corso sulla cybersecurity industriale NIS2
- Responsabili cybersecurity, IT e OT
- Responsabili qualità, compliance e sistemi di gestione
- Responsabili acquisti e supply chain
- Responsabili tecnici di aziende industriali e manifatturiere
- System integrator e fornitori di servizi ICT/OT
- Organizzazioni soggette alla Direttiva NIS2
Obiettivi del corso sulla cybersecurity industriale NIS2
- Comprendere il quadro normativo europeo della cybersecurity
- Analizzare l’evoluzione dalla NIS1 alla NIS2
- Identificare soggetti essenziali e soggetti importanti
- Gestire il rischio cybersecurity nella supply chain
- Valutare fornitori critici e servizi ICT/OT esternalizzati
- Definire controlli di sicurezza contrattuali, tecnici e organizzativi
- Integrare NIS2, ISO/IEC 27001, ISO/IEC 27002 e IEC 62443 nei processi aziendali
Programma del corso
Modulo 1 — Quadro normativo europeo della cybersecurity
Durata: 1,5 ore
- Evoluzione della cybersecurity nei prodotti connessi
- Strategia europea di cybersecurity
- Cybersecurity Act, Cyber Resilience Act, NIS2 e Regolamento Macchine
- Impatto delle normative sui produttori di prodotti con elementi digitali
Modulo 2 — Evoluzione normativa: dalla NIS1 alla NIS2
Durata: 1 ora
- Differenze principali tra NIS1 e NIS2
- Eliminazione della distinzione OES / DSP
- Soggetti essenziali e soggetti importanti
- Impatto sulle imprese europee
- Applicazione del criterio size-cap
Modulo 3 — Good practices nella supply chain cybersecurity
Durata: 1 ora
- Ruolo della cybersecurity nella gestione della supply chain
- Obblighi previsti dalla Direttiva NIS2
- Gestione dei fornitori nella sicurezza informatica
- Collegamento tra sicurezza IT, OT e continuità operativa
Modulo 4 — Gestione del rischio della supply chain
Durata: 1,5 ore
- Identificazione dei fornitori e delle dipendenze critiche
- Analisi dei rischi legati ai fornitori e ai servizi esternalizzati
- Valutazione delle vulnerabilità introdotte nella filiera
- Integrazione della gestione del rischio nel sistema aziendale
Modulo 5 — Controlli di sicurezza per la gestione dei fornitori
Durata: 1,5 ore
- Controlli previsti dalla norma ISO/IEC 27002:2022
- Gestione dei rapporti con i fornitori
- Controllo degli accessi dei fornitori ai sistemi informativi
- Valutazione della sicurezza dei servizi forniti
- Monitoraggio continuo delle prestazioni dei fornitori
Modulo 6 — Sicurezza dei prodotti e sviluppo sicuro
Durata: 1,5 ore
- Introduzione al Secure Development Lifecycle
- Requisiti della norma IEC 62443-4-1
- Gestione delle vulnerabilità dei prodotti
- Gestione delle patch di sicurezza
- Verifica dei processi di sviluppo sicuro nei fornitori
Modulo 7 — Cybersecurity industriale NIS2 nei sistemi OT
Durata: 1,5 ore
- Sicurezza nei sistemi di automazione industriale
- Norme di riferimento della serie IEC 62443
- Gestione delle vulnerabilità nei sistemi OT
- Controllo dei fornitori di componenti e sistemi industriali
Modulo 8 — Gestione operativa della supply chain
Durata: 1 ora
- Definizione delle categorie di fornitori
- Requisiti di sicurezza contrattuali
- Controlli sui fornitori durante il ciclo di vita della fornitura
- Audit e verifiche periodiche sui fornitori
Modulo 9 — Sistema di gestione e miglioramento continuo
Durata: 1 ora
- Integrazione della cybersecurity nei sistemi di gestione aziendali
- Applicazione del ciclo Plan–Do–Check–Act (PDCA)
- Ruolo della ISO 9001 nella gestione della qualità e dei fornitori
- Monitoraggio continuo della supply chain
Modulo 10 — Implementazione pratica nelle aziende
Durata: 1 ora
- Definizione dei processi aziendali per la sicurezza della supply chain
- Integrazione tra ISO 9001, ISO/IEC 27001 e IEC 62443
- Monitoraggio e verifica dell’efficacia dei controlli di sicurezza
Modulo 11 — Esercitazione pratica sulla cybersecurity industriale NIS2
Durata: 2–4 ore
- Analisi di un caso reale portato dai partecipanti
- Valutazione della filiera dei fornitori e dei servizi ICT/OT utilizzati
- Identificazione dei fornitori critici
- Valutazione delle vulnerabilità e dei rischi cybersecurity
- Definizione delle misure di sicurezza secondo good practices e standard internazionali
Norme e standard per la cybersecurity industriale NIS2
- Direttiva (UE) 2022/2555 – NIS2
- Regolamento (UE) 2019/881 – Cybersecurity Act
- Regolamento (UE) 2024/2847 – Cyber Resilience Act
- Regolamento (UE) 2023/1230 – Regolamento Macchine
- ISO 31000
- ISO/IEC 27001
- ISO/IEC 27002:2022
- NISTIR 8276
- IEC 62443
- IEC 62443-4-1
Esercitazione pratica su caso reale
Il corso si conclude con un’esercitazione pratica basata su un caso reale portato dai partecipanti, finalizzata ad applicare concretamente i requisiti della Direttiva NIS2 alla gestione della cybersecurity nella supply chain industriale.
La cybersecurity industriale NIS2 richiede un approccio strutturato alla gestione dei fornitori, dei servizi ICT/OT e delle vulnerabilità della supply chain.
L’attività prevede l’analisi dei fornitori critici, dei servizi ICT/OT utilizzati, delle vulnerabilità potenziali e delle misure di sicurezza da adottare secondo le good practices e gli standard internazionali di riferimento.